黑客技術

網絡是多種信息技術的集合體，它的運行依靠相關的大量技術標準和協議。作為網絡的入侵者，黑客的工作主要是通過對技術和實際實現中的邏輯漏洞進行挖掘，通過系統允許的操作對沒有權限操作的信息資源進行訪問和處理，黑客對網絡的攻擊主要是通過網絡中存在的拓撲漏洞及對外提供服務的實現漏洞實現成功的滲透。 ^[1] 

除了使用這些技術上的漏洞，黑客還可以充分利用人為運行管理中存在的問題對目標網絡實施入侵。通過欺騙、信息蒐集等社會工程學的方法，黑客可以從網絡運行管理的薄弱環節入手，通過對人本身的習慣的把握，迅速地完成對網絡用户身份的竊取並進而完成對整個網絡的攻擊。 ^[1] 

黑客的技術範圍很廣，涉及網絡協議解析、源碼安全性分析、密碼強度分析和社會工程學等多個不同的學科。入侵一個目標系統，在早期需要黑客具有過硬的協議分析基礎、深厚的數學功底，但由於網絡的共享能力以及自動攻擊腳本的成熟與廣泛的散播，現在黑客的行為愈演愈烈，而對黑客的技術要求也在不斷地降低。 ^[1] 

目前，在實施網絡攻擊中，黑客所使用的入侵技術主要包括以下幾種：協議漏洞滲透、密碼分析還原、應用漏洞分析與滲透、社會工程學、拒絕服務攻擊、病毒或後門攻擊。 ^[1] 

黑客技術的種類和傳播方式有如下幾種。 ^[2] 

根據2012年2月底QQ電腦管家統計，檢測出新增的獨立URI。掛馬網站數量超過246萬個；隨着大量黑客網站與論壇中的教程對掛馬技術的“掃盲”，預計今後網站掛馬在中國會更加瘋狂地出現，掛馬技術普及更助長了木馬的傳播與黑客的發展壯大。 ^[2] 

掛馬網站起着傳播木馬與其他惡意程序的作用。擅長網絡攻擊的黑客傳播木馬的主要手段之一就是掛馬。通過掛馬廣泛傳播木馬後．專職盜號者就可以獲得用户的敏感信息。 ^[2] 

當人們日漸明白操作系統打補丁的重要性時，黑客們利用操作系統漏洞的機會便越來越少，為了能夠達到攻入用户電腦的非法目的，黑客們把目標轉移到應用軟件漏洞上來。被黑客們關注的應用軟件都是裝機量很大、用户量很多的熱門軟件，例如下載軟件、視頻播放軟件、文字處理軟件等，這些軟件都成為了黑客們重點挖掘漏洞的對象。 ^[2] 

大多數的病毒製造者是把別人挖掘的漏洞加入自己的程序中。但隨着黑客人數的日益增多，會有越來越多的第三方軟件漏洞被黑客發現並利用。 ^[2] 

網絡遊戲的普及性、玩家的大眾化、虛擬遊戲世界的被認知性、虛擬裝備的稀缺性等原因，導致網絡遊戲財產方面的市場需求十分旺盛，因此交易內容也多以網絡遊戲的賬號、密碼、虛擬錢幣、虛擬遊戲裝備為主。正是在這種市場環境下，網絡遊戲盜號者在盜取完成後，在正規的網絡交易平台進行正常的交易；交易完成，虛擬世界的錢幣與物品得以兑換成為現實貨幣，最終虛擬財產便就此具備了現實的實際價值。 ^[2] 

隨着電子商務、網上結算、網上銀行等業務在日常生活中的普及，網絡釣魚事件在我國層出不窮。網絡釣魚是黑客使用虛假網站來誘騙瀏覽者提供信用卡賬號、用户名、密碼、詳細的個人信息等，而欺騙手段一般是假冒成確實需要這些信息的可信方，隨後利用騙得的賬號和密碼竊取受騙者的金錢。從涉及領域來看，大多數釣魚網站案件集中在金融和電子商務兩個行業。釣魚網站實現在黑客技術中並不是很複雜，只需要把一個虛假網站散播出去，讓用户受騙，即可完成非法獲利的目的。 ^[2] 

拒絕服務攻擊最主要的目的是造成被攻擊服務器資源耗盡或系統崩潰而無法提供服務。這樣的入侵對於服務器來説可能並不會造成損害，但可以造成人們對被攻擊服務器所提供服務的信任度下降，影響公司的聲譽及用户對網絡服務的使用。這類攻擊主要還是利用網絡協議的一些薄弱環節，通過發送大量無效請求數據包造成服務器進程無法短期釋放，大瞪積累耗盡系統資源，使得服務器無法對正常的請求進行響應，造成服務的癱瘓。 ^[1] 

網絡安全從其本質上來講就是網絡上的信息安全。從廣義來説，凡是涉及到網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全的研究領域。確保網絡系統的信息安全是網絡安全的目標，信息安全包括兩個方面：信息的存儲安全和信息的傳輸安全。信息的存儲安全是指信息在靜態存放狀態下的安全，如是否會被非授權調用等。信息的傳輸安全是指信息在動態傳輸過程中安全。為了確保網絡信息的傳輸安全，有以下幾個問題：

（1）對網絡上信息的監聽；

（2）對用户身份的仿冒；

（3）對網絡上信息的篡改；

（4）對發出的信息予以否認；

（5）對信息進行重發。

所謂口令入侵，就是指用一些軟件解開已經得到但被人加密的口令文檔，不過許多黑客已大量採用一種可以繞開或屏蔽口令保護的程序來完成這項工作。對於那些可以解開或屏蔽口令保護的程序通常被稱為“Crack”。由於這些軟件的廣為流傳，使得入侵電腦網絡系統有時變得相當簡單，一般不需要很深入瞭解系統的內部結構，是初學者的好方法。

説到特洛伊木馬，只要知道這個故事的人就不難理解，它最典型的做法可能就是把一個能幫助黑客完成某一特定動作的程序依附在某一合法用户的正常程序中，這時合法用户的程序代碼已被改變。一旦用户觸發該程序，那麼依附在內的黑客指令代碼同時被激活，這些代碼往往能完成黑客指定的任務。由於這種入侵法需要黑客有很好的編程經驗，且要更改代碼、要一定的權限，所以較難掌握。但正因為它的複雜性，一般的系統管理員很難發現。

這是一個很實用但風險也很大的黑客入侵方法，但還是有很多入侵系統的黑客採用此類方法，正所謂藝高人膽大。

網絡節點或工作站之間的交流是通過信息流的轉送得以實現，而當在一個沒有集線器的網絡中，數據的傳輸並沒有指明特定的方向，這時每一個網絡節點或工作站都是一個接口。這就好比某一節點説：“嗨！你們中有誰是我要發信息的工作站。”

此時，所有的系統接口都收到了這個信息，一旦某個工作站説：“嗨！那是我，請把數據傳過來。”聯接就馬上完成。

目前有網絡上流傳着很多嗅探軟件，利用這些軟件就可以很簡單的監聽到數據，甚至就包含口令文件，有的服務在傳輸文件中直接使用明文傳輸，這也是非常危險的。

使用email加木馬程序這是黑客經常使用的一種手段，而且非常奏效，一般的用户，甚至是網管，對網絡安全的意識太過於淡薄，這就給很多黑客以可乘之機。

作為一個黑客，如此使用應該是一件可恥的事情，不過大家可以學習，畢竟也是一種攻擊的辦法，特殊時間，特殊地點完全可以使用。

防範黑客的技術措施有很多，下面介紹幾種基本的防範技術。 ^[3] 

建立防火牆是一種常見的實用技術措施。“防火牆”是一種形象的説法，其實它是一種計算機硬件和軟件的組合體。防火牆使互聯網與內部網之間建立起一個安全網關，從而保護內部網免受外部非法用户的侵入。防火牆就是因特網與內部網隔開的屏障。 ^[3] 

雖然防火牆是防範外部黑客的最重要手段之一，但是，如果設置不當，會留下漏洞，成為黑客攻擊網絡的橋樑。在目前黑客智能程度越來越高的情況下，一個要訪問因特網的防火牆，如果不使用先進認證裝置或者不包含使用先進驗證裝置的連接工具，則這樣的防火牆幾乎是沒有意義的。因此，現代防火牆必須採用綜合安全技術，有時還需加入信息的加密存儲和加密傳輸技術以及數字簽名、數字郵戳、數字認證等安全技術方能有效地保護系統的安全。 ^[3] 

需要特別注意的是，防火牆並不能防範內部黑客。 ^[3] 

防火牆不是完整解決安全問題的方法。一個有經驗的攻擊者會利用網絡的漏洞，採用“好”的黑客工具穿透防火牆。因此，應該結合使用入侵檢測技術，共同防範黑客。 ^[3] 

入侵檢測系統是對入侵行為的發覺，是進行入侵檢測的硬件與軟件的結合。它是通過從計算機系統的關鍵點收集信息並進行分析，從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。它的主要任務是：監視、分析用户及系統活動；系統構造和弱點的審計；對異常行為模式的統計分析；評估重要系統和數據義件的完整性：對操作系統進行審計跟蹤管理，並識別用户違反安全策略的行為等。 ^[3] 

身份識別和數字簽名技術是網絡中進行身份證明和保證數據真實性、完整性的一種重要手段。現在身份認證的方式有三種：一是利用本身特徵進行認證，比如人類生物學提供的指紋、聲音、面像鑑別；二是利用所知道的事進行認證，比如口令；三是利用物品進行認證，比如使用智能卡。網絡通信中的認證除了口令、標識符等，目前主要是採用公鑰密碼技術實現的。 ^[3] 

根據Websense安全實驗室發佈的《Websense 2012年威脅報告》，我們看到三個因素正在成為數據竊取“得力助手”：第一，基於社交網絡生成的各種誘餌，這是當前極富成效的攻擊手段；第二，現代惡意軟件在滲入時已具備迴避安全檢測的能力；第三，機密數據的泄露方式日益複雜。為了幫助企業有效的應對威脅現狀，該報告不僅陳列了最新的安全調查發現，還為安全專業人士提供多起案例進行參考，並提出切實可行的防範建議。

Websense中國安全實驗室經理洪敬風表示：“傳統的安全防線已經失去了作用，面對現代威脅環境，只有依靠多點檢測的實時防禦方案，深度檢測和分析入站的每一個網頁與電子郵件內容以及出站敏感數據傳送才能幫助企業有效緩解數據泄露等信息安全風險。在我們的觀察中發現：利用Web和電子郵件進行攻擊幾乎發生在每一起惡意數據竊取行動中；而以人為突破口發起的各種社會工程學攻擊更是越加普遍。因為新一代攻擊者懂得針對一個目標基於多種威脅渠道從多個數據點發起攻擊，所以只有充分了解威脅的整個生命週期，並且能夠將數據安全嵌入各個環節的解決方案才能夠有效防止新的威脅。”

關鍵發現：

82%的惡意網站被託管在已經被惡意份子控制的主機上。主機一旦被惡意份子攻陷則不再能提供可被信任的基準、雲或者託管服務。從大的環境來講，這阻礙了社會經濟的發展，因為雲技術被大量應用於發展商業、交通和文化。

55%的數據竊取源於基於Web的惡意軟件通訊。

43%的Facebook分享為流媒體，其中有不少為病毒式視頻。因為當前的各種Web誘餌（視頻、虛假禮品贈與、虛假調查問卷和詐騙等）都是從吸引人的好奇心出發，並越來越多地被使用在社交網絡上。Websense是Facebook的內容安全合作伙伴，致力幫助Facebook掃描其內容更新中的所有 Web鏈接，所以 Websense調查員對社交網絡內容具有深入的瞭解和敏鋭的觀察。

50%的惡意軟件的重定向地址指向美國，其次是加拿大。

60%的釣魚網站主機在美國，還有一大部分在加拿大。而美國亦是託管最多惡意軟件的國家，佔總量的36%，緊隨其後的是俄羅斯。

74%的電子郵件是垃圾郵件，在前一年這個數據是84%.總體來説，在對抗垃圾郵件殭屍網絡方面的努力頗有成效。而另一方面，在垃圾郵件的總量下降的同時，我們看到92%的垃圾郵件都包含一個URL鏈接，這説明混合電子郵件和Web威脅的攻擊正在上升。排名前五位的垃圾郵件誘餌有：訂單狀態通知、票務確認、交貨通知、測試郵件，以及退税通知。另外，魚叉式網絡釣魚攻擊也在持續增長，大多數被用於針對性攻擊。

Websense安全實驗室分析了超過20萬個安卓應用，發現了大量的包含惡意目地和許可的軟件。可以預計，未來將會有更多的用户會成為惡意移動應用程序的受害者。

先進威脅的生命週期可以被分為6個階段：誘惑、重定向、攻擊工具包、dropper木馬文件、自動通訊，和數據竊取。其中每一個階段都有不同的特徵，需要專門的實時防禦系統。傳統的安全防護手段因為主要關注第四階段，並且只能夠基於已知威脅特徵庫查找惡意軟件，所以在現代威脅面前頓時失靈。先進威脅中使用的dropper木馬可能在數小時或者數天中都無法被傳統安全工具檢測到。

Websense安全實驗室運用Websense ThreatSeeker Network對全球互聯網威脅進行實時監測。Websense ThreatSeeker Network每小時掃描4千多萬個Web網站和1千多萬封電子郵件，以查找不當內容和惡意代碼。利用全球超過5千萬個節點的實時數據採集系統，Websense ThreatSeeker Networks監測並分類Web、郵件以及數據內容，這使得Websense在審查Internet及電子郵件內容方面具有獨一無二的可視能力。

1．肉雞：所謂“肉雞”是一種很形象的比喻，比喻那些可以隨意被我們控制的電腦，對方可以是WINDOWS系統，也可以是UNIX/LINUX系統，可以是普通的個人電腦，也可以是大型的服務器，我們可以象操作自己的電腦那樣來操作它們，而不被對方所發覺。

2．木馬：就是那些表面上偽裝成了正常的程序，但是當這些被程序運行時，就會獲取系統的整個控制權限。有很多黑客就是熱衷於使用木馬程序來控制別人的電腦，比如灰鴿子，黑洞，PcShare等等。

3．網頁木馬：表面上偽裝成普通的網頁文件或是將自己的代碼直接插入到正常的網頁文件中，當有人訪問時，網頁木馬就會利用對方系統或者瀏覽器的漏洞自動將配置好的木馬的服務端下載到訪問者的電腦上來自動執行。

4．掛馬：就是在別人的網站文件裏面放入網頁木馬或者是將代碼潛入到對方正常的網頁文件裏，以使瀏覽者中馬。

5．後門：這是一種形象的比喻，入侵者在利用某些方法成功的控制了目標主機後，可以在對方的系統中植入特定的程序，或者是修改某些設置。這些改動表面上是很難被察覺的，但是入侵者卻可以使用相應的程序或者方法來輕易的與這台電腦建立連接，重新控制這台電腦，就好象是入侵者偷偷的配了一把主人房間的鑰匙，可以隨時進出而不被主人發現一樣。

通常大多數的特洛伊木馬(Trojan Horse)程序都可以被入侵者用於製作後門(BackDoor)。

6．rootkit：rootkit是攻擊者用來隱藏自己的行蹤和保留root(根權限，可以理解成WINDOWS下的system或者管理員權限)訪問權限的工具。通常，攻擊者通過遠程攻擊的方式獲得root訪問權限，或者是先使用密碼猜解(破解)的方式獲得對系統的普通訪問權限，進入系統後，再通過，對方系統內存在的安全漏洞獲得系統的root權限。然後，攻擊者就會在對方的系統中安裝rootkit，以達到自己長久控制對方的目的，rootkit與我們前邊提到的木馬和後門很類似，但遠比它們要隱蔽，黑客守衞者就是很典型的rootkit，還有國內的ntroorkit等都是不錯的rootkit工具。

7．IPC$：是共享“命名管道”的資源，它是為了讓進程間通信而開放的命名管道，可以通過驗證用户名和密碼獲得相應的權限，在遠程管理計算機和查看計算機的共享資源時使用。

8．弱口令：指那些強度不夠，容易被猜解的，類似123，abc這樣的口令(密碼)。

9．默認共享：默認共享是WINDOWS2000/XP/2003系統開啓共享服務時自動開啓所有硬盤的共享，因為加了"$"符號，所以看不到共享的託手圖表，也稱為隱藏共享。

10．shell：指的是一種命令執行環境，比如我們按下鍵盤上的“開始鍵+R”時出現“運行”對話框，在裏面輸入“cmd”會出現一個用於執行命令的黑窗口，這個就是WINDOWS的Shell執行環境。通常我們使用遠程溢出程序成功溢出遠程電腦後得到的那個用於執行系統命令的環境就是對方的shell。

11．WebShell：WebShell就是以asp、php、jsp或者cgi等網頁文件形式存在的一種命令執行環境，也可以將其稱做是一種網頁後門。黑客在入侵了一個網站後，通常會將這些asp或php後門文件與網站服務器WEB目錄下正常的網頁文件混在一起，然後就可以使用瀏覽器來訪問這些asp 或者php後門，得到一個命令執行環境，以達到控制網站服務器的目的。可以上傳下載文件，查看數據庫，執行任意程序命令等。國內常用的WebShell有海陽ASP木馬，Phpspy，c99shell等。

12．溢出：確切的講，應該是“緩衝區溢出”。簡單的解釋就是程序對接受的輸入數據沒有執行有效的檢測而導致錯誤，後果可能是造成程序崩潰或者是執行攻擊者的命令。大致可以分為兩類：(1)堆溢出；(2)棧溢出。

13．注入：隨着B/S模式應用開發的發展，使用這種模式編寫程序的程序員越來越來越多，但是由於程序員的水平參差不齊相當大一部分應用程序存在安全隱患。用户可以提交一段數據庫查詢代碼，根據程序返回的結果，獲得某些他想要知的數據，這個就是所謂的SQLinjection，即：SQL注入。

14．注入點：是可以實行注入的地方，通常是一個訪問數據庫的連接。根據注入點數據庫的運行賬號的權限的不同，你所得到的權限也不同。

15．內網：通俗的講就是局域網，比如網吧，校園網，公司內部網等都屬於此類。查看IP地址如果是在以下三個範圍之內的話，就説明我們是處於內網之中的：10.0.0.0—10.255.255.255，172.16.0.0—172.31.255.255，192.168.0.0—192.168.255.255。

16．外網：直接連入INTERNET(互連網)，可以與互連網上的任意一台電腦互相訪問，IP地址不是保留IP(內網)IP地址。

17．端口：(Port)相當於一種數據的傳輸通道。用於接受某些數據，然後傳輸給相應的服務，而電腦將這些數據處理後，再將相應的恢復通過開啓的端口傳給對方。一般每一個端口的開放都對應了相應的服務，要關閉這些端口只需要將對應的服務關閉就可以了。

18．3389、4899肉雞：3389是Windows終端服務(Terminal Services)所默認使用的端口號，該服務是微軟為了方便網絡管理員遠程管理及維護服務器而推出的，網絡管理員可以使用遠程桌面連接到網絡上任意一台開啓了終端服務的計算機上，成功登陸後就會象操作自己的電腦一樣來操作主機了。這和遠程控制軟件甚至是木馬程序實現的功能很相似，終端服務的連接非常穩定，而且任何殺毒軟件都不會查殺，所以也深受黑客喜愛。黑客在入侵了一台主機後，通常都會想辦法先添加一個屬於自己的後門賬號，然後再開啓對方的終端服務，這樣，自己就隨時可以使用終端服務來控制對方了，這樣的主機，通常就會被叫做3389肉雞。Radmin是一款非常優秀的遠程控制軟件，4899就是Radmin默認使以也經常被黑客當作木馬來使用(正是這個原因，有的人在使用的服務端口號。因為Radmin的控制功能非常強大，傳輸速度也比大多數木馬快，而且又不被殺毒軟件所查殺，所用Radmin管理遠程電腦時使用的是空口令或者是弱口令，黑客就可以使用一些軟件掃描網絡上存在Radmin空口令或者弱口令的主機，然後就可以登陸上去遠程控制對方，這樣被控制的主機通常就被成做4899肉雞。

19．免殺：就是通過加殼、加密、修改特徵碼、加花指令等等技術來修改程序，使其逃過殺毒軟件的查殺。

20．加殼：就是利用特殊的算法，將EXE可執行程序或者DLL動態連接庫文件的編碼進行改變(比如實現壓縮、加密)，以達到縮小文件體積或者加密程序編碼，甚至是躲過殺毒軟件查殺的目的。較常用的殼有UPX，ASPack、PePack、PECompact、UPack、免疫007、木馬綵衣等等。

21．花指令：就是幾句彙編指令，讓彙編語句進行一些跳轉，使得殺毒軟件不能正常的判斷病毒文件的構造。説通俗點就是“殺毒軟件是從頭到腳按順序來查找病毒。如果我們把病毒的頭和腳顛倒位置，殺毒軟件就找不到病毒了”。